Tech Blog

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2025-70039 wurde in der Version 2023.Q1.1223 des Linagora Twake-Produkts entdeckt. Die Schwachstelle ermöglicht es Angreifern, durch die unsachgemäße Neutralisierung von Sonderzeichen in Betriebssystem-Befehlen, beliebigen Code auszuführen. Administratoren sollten umgehend ein Sicherheitsupdate einspielen, um ihre Systeme vor Kompromittierung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-70039, CVE-2026-25173).

Eine kritische Sicherheitslücke in der Entwicklungsumgebung des Headless-CMS TinaCMS ermöglicht es Angreifern, durch einfaches Aufrufen einer manipulierten Website, willkürliche Dateien auf den Rechnern von Entwicklern zu lesen, zu schreiben und zu löschen. Die Lücke mit der CVE-ID CVE-2026-28792 wurde in Version 2.1.8 behoben.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-28793 wurde in der Tina CMS-Entwicklungsumgebung entdeckt. Vor Version 2.1.8 ermöglichte dies Angreifern den Zugriff auf und die Manipulation von Dateien außerhalb des vorgesehenen Medienverzeichnisses. Der Patch in Version 2.1.8 behebt dieses Sicherheitsrisiko mit hoher Gefährdung (8.4 nach CVSS).

Eine kritische Autorisierungslücke in der Web-Anwendung Vito ermöglichte es Angreifern mit Zugriff auf einen Projektworkflow, Websites auf Servern anderer Projekte zu erstellen und zu verwalten. Die Schwachstelle wurde in Version 3.20.3 behoben.

Eine kritische Sicherheitslücke mit hoher Schwere (CVE-2026-25172) in Windows Routing and Remote Access Service (RRAS) ermöglicht es Angreifern, über ein Netzwerk beliebigen Code auszuführen. Das Problem resultiert aus einem Integer-Überlauf. Administratoren sollten dringend das entsprechende Sicherheitsupdate von Microsoft installieren, um ihre Systeme vor Missbrauch zu schützen.

Eine kritische Sicherheitslücke in der Headless-CMS-Software TinaCMS vor Version 2.1.8 ermöglicht es Angreifern, Dateien auf den Systemen von Entwicklern zu lesen, zu schreiben und zu löschen. Die Kombination aus schwacher CORS-Konfiguration und Pfadtraversal-Fehler erlaubt es böswilligen Websites, Entwickler in Drive-by-Attacken auszunutzen, wenn der TinaCMS-Entwicklungsserver aktiv ist. Diese Schwachstelle stellt ein erhebliches Sicherheitsrisiko dar und sollte umgehend durch ein Update auf die sichere Version 2.1.8 behoben werden.

Sicherheitsforscher haben über 200 Schwachstellen in WordPress Plugins und Themes entdeckt, darunter kritische Lücken wie Remote Code Execution (CVE-2026-3132) und Privilege Escalation (CVE-2026-1566). Betroffen sind beliebte Plugins wie Master Addons, LatePoint und User Registration. Wordfence hat Schutzregeln bereitgestellt, Nutzer sollten umgehend Sicherheitsupdates einspielen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-28031, CVE-2026-27995, CVE-2026-2488, CVE-2026-22471, CVE-2026-28025, CVE-2026-22477, CVE-2026-2494, CVE-2026-22516, CVE-2026-1805, CVE-2026-3058, CVE-2026-28021, CVE-2026-28034, CVE-2025-68886, CVE-2026-2371, CVE-2026-22453, CVE-2026-27996, CVE-2026-22513, CVE-2026-28035, CVE-2026-28016, CVE-2023-7337, CVE-2026-27992, CVE-2026-27332, CVE-2026-22502, CVE-2026-28012, CVE-2026-28039, CVE-2026-22484, CVE-2026-3072, CVE-2026-2589, CVE-2026-1086, CVE-2025-69411, CVE-2026-28018, CVE-2026-28009, CVE-2026-22509, CVE-2026-1321, CVE-2026-28020, CVE-2026-27986, CVE-2026-22480, CVE-2026-2732, CVE-2026-22476, CVE-2026-28072, CVE-2026-1574, CVE-2026-28036, CVE-2026-22467, CVE-2026-22494, CVE-2026-22493, CVE-2025-14675, CVE-2026-1706, CVE-2026-1566, CVE-2026-2628, CVE-2026-27990, CVE-2026-3352, CVE-2026-1824, CVE-2026-22452, CVE-2026-28045, CVE-2026-1273, CVE-2026-28028, CVE-2026-22499, CVE-2026-1945, CVE-2026-22460, CVE-2026-28026, CVE-2026-1674, CVE-2026-2292, CVE-2026-2020, CVE-2026-2830, CVE-2026-28010, CVE-2026-27983, CVE-2026-2429, CVE-2026-28071, CVE-2026-27093, CVE-2026-27991, CVE-2026-27998, CVE-2026-1492, CVE-2026-28041, CVE-2026-28043, CVE-2026-22496, CVE-2026-27984, CVE-2026-28013, CVE-2026-3180, CVE-2026-28032, CVE-2026-2593, CVE-2026-22498, CVE-2026-28033, CVE-2026-27095, CVE-2025-54001, CVE-2026-22504, CVE-2026-22500, CVE-2026-27098, CVE-2026-28027, CVE-2026-3459, CVE-2026-28024, CVE-2026-28015, CVE-2026-28011, CVE-2026-27326, CVE-2026-22417, CVE-2026-27989, CVE-2026-24385, CVE-2026-22459, CVE-2026-1720, CVE-2026-1820, CVE-2026-22485, CVE-2026-22512, CVE-2026-2722, CVE-2026-2448, CVE-2026-2599, CVE-2026-28037, CVE-2026-22506, CVE-2026-22497, CVE-2026-2433, CVE-2026-3034, CVE-2026-22515, CVE-2026-27997, CVE-2026-22508, CVE-2026-24963, CVE-2025-68555, CVE-2026-27993, CVE-2026-2269, CVE-2026-3056, CVE-2026-22501, CVE-2026-27988, CVE-2026-1236, CVE-2026-24960, CVE-2026-28019, CVE-2025-69090, CVE-2026-22479, CVE-2026-2289, CVE-2026-28007, CVE-2026-22457, CVE-2026-28023, CVE-2026-1085, CVE-2026-1487, CVE-2026-1644, CVE-2026-28017, CVE-2026-2583, CVE-2026-22505, CVE-2026-27338, CVE-2026-27985, CVE-2026-27097, CVE-2026-27987, CVE-2026-1336, CVE-2026-27994, CVE-2026-22473, CVE-2025-14353, CVE-2026-22503, CVE-2026-22511, CVE-2026-2568, CVE-2026-28030, CVE-2026-1651, CVE-2026-2721, CVE-2026-2899, CVE-2026-2893, CVE-2026-22451, CVE-2026-22465, CVE-2026-1569, CVE-2026-22440, CVE-2026-1073, CVE-2026-22474, CVE-2026-22449, CVE-2026-1823, CVE-2025-53335, CVE-2026-28047, CVE-2026-1074, CVE-2026-3132, CVE-2026-28014, CVE-2026-22478, CVE-2026-28022, CVE-2026-28042, CVE-2026-28029, CVE-2026-22491, CVE-2026-22455, CVE-2025-68554, CVE-2026-1650, CVE-2025-69347, CVE-2026-2025, CVE-2026-22495, CVE-2026-1902, CVE-2026-28073, CVE-2025-8899, CVE-2026-28038, CVE-2026-22438, CVE-2026-22454, CVE-2026-2365, CVE-2025-68515, CVE-2026-22456, CVE-2026-2355, CVE-2026-1980, CVE-2026-2420, CVE-2026-1981, CVE-2026-22475, CVE-2026-1825, CVE-2026-3523, CVE-2026-1071, CVE-2026-22514, CVE-2026-28006, CVE-2026-2431, CVE-2026-22446, CVE-2026-1542, CVE-2026-2363, CVE-2025-68553, CVE-2026-28046, CVE-2026-3060).

Eine kritische Sicherheitslücke in der Deserialisierung von Daten in Sglang ermöglicht Angreifern die Ausführung von beliebigem Code. Die Verwundbarkeit (CVE-2026-3060) betrifft den Disaggregations-Modul des Sglang-Encoders und muss dringend behoben werden, um Systeme vor Kompromittierung zu schützen.

Eine Schwachstelle (CVE-2026-21671) in Veeam Backup And Replication ermöglicht es einem authentifizierten Domänennutzer, beliebigen Schadcode auf dem Backup-Server auszuführen. Dies kann zu unbefugtem Zugriff und erheblichen Sicherheitsrisiken führen. Admins sollten dringend Patches installieren, um ihre Backup-Infrastruktur vor Missbrauch zu schützen.

Microsoft hat im März 2026 eine Reihe von Sicherheitslücken in seinen Produkten behoben, darunter die kritische SQL Server-Schwachstelle CVE-2026-21262. Besonders brisant ist auch ein Informationsoffenlegungsfehler in Excel (CVE-2026-26144), der angeblich zur Exfiltration von Daten über den Copilot-Agent-Modus missbraucht werden kann.